Nuevo y con todo por hacer

¿Te pensaste lo de poner tu LAN también en una VLAN? Es sencillo, y te ahorras rehacer lo que tienes hasta ahora.

Saludos!
 
Hola Pocoyó. Sí, lo montaré esta noche, he tenido mucho curro estos 2 días.

Por cierto, sobre los jumbo frames, me lié la cabeza y he puesto un switch tp-link que tenía por ahí para las conexiones de internet de los equipos y el internet del NAS, conectado al Mikrotik. De esa forma he dejado el switch qnap 10GB con MTU 9000, sin conectar a internet y conectado a los equipos que tienen otra tarjeta de red 10gb cada uno también con MTU 9000, así tengo dos redes, una interna a 9000 sin internet con switch propio y otra a 1500 sólo para internet. El NAS vuela, además tengo port forwarding y da 20GB de salida (10 x equipo simultáneamente) > 1,2 GBytes/s :eek:

Saludos!
 
Buenas!

Entre ayer y hoy he tenido un rato y he estado trasteando con las VLANs y el hilo de montar la VLAN en un único bridge, pero eso mezclado con la "doscables" tengo un jaleo que al final he tirado de backup, algo tengo que hacer mal.
¿Por dónde debería empezar para hacerlo bien? Entiendo que montarlo sobre un único bridge teniendo el Hex S es lo correcto ahora que se puede, pero lo de meter la LAN como VLAN y a la vez el segundo cable del HGU al MK, ahí ya me pierdo :mad:

Muchas gracias una vez más @pocoyo
 
Buenas!

Entre ayer y hoy he tenido un rato y he estado trasteando con las VLANs y el hilo de montar la VLAN en un único bridge, pero eso mezclado con la "doscables" tengo un jaleo que al final he tirado de backup, algo tengo que hacer mal.
¿Por dónde debería empezar para hacerlo bien? Entiendo que montarlo sobre un único bridge teniendo el Hex S es lo correcto ahora que se puede, pero lo de meter la LAN como VLAN y a la vez el segundo cable del HGU al MK, ahí ya me pierdo :mad:

Muchas gracias una vez más @pocoyo
Pásame un export de lo que tienes ahora y lo vemos.

Saludos!
 
Buenas tardes.

Ahí va el export!
Código:
# jul/10/2022 19:37:52 by RouterOS 7.3.1
# software id = 7HE5-FCXH
#
# model = RB760iGS
# serial number = HCG085FCP0N
/interface bridge
add admin-mac=18:FD:74:0B:60:BD auto-mac=no comment=defconf name=bridge
/interface pppoe-client
add add-default-route=yes disabled=no interface=ether1 name=pppoe-out1 user=\
    adslppp@telefonicanetpa
/interface list
add comment=defconf name=WAN
add comment=defconf name=LAN
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/ip pool
add name=dhcp ranges=192.168.10.20-192.168.10.200
/ip dhcp-server
add address-pool=dhcp interface=bridge name=defconf
/port
set 0 name=serial0
/interface bridge port
add bridge=bridge comment="defconf IPTV" interface=ether2
add bridge=bridge comment=defconf interface=ether3
add bridge=bridge comment="defconf SW TPLINK INTERNET" interface=ether4
add bridge=bridge comment="defconf SW PoE16 SAL\D3N" interface=ether5
add bridge=bridge comment=defconf disabled=yes interface=sfp1
/ip neighbor discovery-settings
set discover-interface-list=LAN
/interface list member
add comment=defconf interface=bridge list=LAN
add comment=defconf interface=ether1 list=WAN
add interface=pppoe-out1 list=WAN
/ip address
add address=192.168.10.1/24 comment=defconf interface=bridge network=\
    192.168.10.0
/ip dhcp-client
add comment=defconf disabled=yes interface=ether1
/ip dhcp-server lease
add address=192.168.10.2 client-id=\
    ff:b0:fb:3e:a:0:2:0:0:ab:11:96:e6:fc:29:c1:e9:e:ce mac-address=\
    78:45:58:8F:0F:1D server=defconf
add address=192.168.10.15 client-id=1:68:d7:9a:e2:7f:7d mac-address=\
    68:D7:9A:E2:7F:7D server=defconf
add address=192.168.10.5 client-id=1:78:45:58:d4:d:c1 mac-address=\
    78:45:58:D4:0D:C1 server=defconf
add address=192.168.10.4 client-id=1:78:45:58:69:c5:98 mac-address=\
    78:45:58:69:C5:98 server=defconf
add address=192.168.10.12 client-id=1:e0:d5:5e:e7:4a:2a mac-address=\
    E0:D5:5E:E7:4A:2A server=defconf
/ip dhcp-server network
add address=192.168.10.0/24 comment=defconf dns-server=192.168.10.1 gateway=\
    192.168.10.1 netmask=24
/ip dns
set allow-remote-requests=yes servers=8.8.4.4,1.1.1.1
/ip dns static
add address=192.168.10.1 comment=defconf name=router.lan
/ip firewall address-list
add address=xxxxxxxxx.sn.mynetname.net list=public-ip
/ip firewall filter
add action=accept chain=input comment=\
    "defconf: accept established,related,untracked" connection-state=\
    established,related,untracked
add action=drop chain=input comment="defconf: drop invalid" connection-state=\
    invalid
add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp
add action=accept chain=input comment=\
    "defconf: accept to local loopback (for CAPsMAN)" dst-address=127.0.0.1
add action=drop chain=input comment="defconf: drop all not coming from LAN" \
    in-interface-list=!LAN
add action=accept chain=forward comment="defconf: accept in ipsec policy" \
    ipsec-policy=in,ipsec
add action=accept chain=forward comment="defconf: accept out ipsec policy" \
    ipsec-policy=out,ipsec
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" \
    connection-state=established,related hw-offload=yes
add action=accept chain=forward comment=\
    "defconf: accept established,related, untracked" connection-state=\
    established,related,untracked
add action=drop chain=forward comment="defconf: drop invalid" \
    connection-state=invalid
add action=drop chain=forward comment=\
    "defconf: drop all from WAN not DSTNATed" connection-nat-state=!dstnat \
    connection-state=new in-interface-list=WAN
/ip firewall nat
add action=src-nat chain=srcnat comment=nat-estatico ipsec-policy=out,none \
    out-interface=pppoe-out1 to-addresses=XX.XX.XX.XX
add action=masquerade chain=srcnat comment="hairpin-nat (old)" dst-address=\
    192.168.10.0/24 src-address=192.168.10.0/24
add action=masquerade chain=srcnat comment=hairpin-nat dst-address=\
    192.168.10.100 out-interface-list=LAN protocol=tcp src-address=\
    192.168.10.0/24
add action=masquerade chain=srcnat comment=nat-masquerade ipsec-policy=\
    out,none out-interface-list=WAN
add action=dst-nat chain=dstnat comment="forward 80 a 4488" dst-address-list=\
    public-ip dst-port=80 protocol=tcp to-addresses=192.168.10.100 to-ports=\
    4488
add action=dst-nat chain=dstnat comment="forward 443 a 448" dst-address-list=\
    public-ip dst-port=443 protocol=tcp to-addresses=192.168.10.100 to-ports=\
    448
add action=dst-nat chain=dstnat comment="QNAP Fileserver 13200" \
    dst-address-list=public-ip dst-port=13200 protocol=tcp to-addresses=\
    192.168.10.100 to-ports=13200
add action=dst-nat chain=dstnat comment=Mattermost dst-address-list=public-ip \
    dst-port=8065 protocol=tcp to-addresses=192.168.10.100 to-ports=8065
add action=dst-nat chain=dstnat comment="NGineX 50080" dst-address-list=\
    public-ip dst-port=50080 protocol=tcp to-addresses=192.168.10.100 \
    to-ports=50080
add action=dst-nat chain=dstnat comment="Teamspeak 3" dst-address-list=\
    public-ip dst-port=9987 protocol=udp to-addresses=192.168.10.100 \
    to-ports=9987
add action=dst-nat chain=dstnat comment="Teamspeak 3 server" \
    dst-address-list=public-ip dst-port=10011 protocol=tcp to-addresses=\
    192.168.10.100 to-ports=10011
add action=dst-nat chain=dstnat comment="Teamspeak 3 Filetransfer" \
    dst-address-list=public-ip dst-port=30033 protocol=tcp to-addresses=\
    192.168.10.100 to-ports=30033
/ip service
set www port=8080
set www-ssl port=8443
/ipv6 firewall address-list
add address=::/128 comment="defconf: unspecified address" list=bad_ipv6
add address=::1/128 comment="defconf: lo" list=bad_ipv6
add address=fec0::/10 comment="defconf: site-local" list=bad_ipv6
add address=::ffff:0.0.0.0/96 comment="defconf: ipv4-mapped" list=bad_ipv6
add address=::/96 comment="defconf: ipv4 compat" list=bad_ipv6
add address=100::/64 comment="defconf: discard only " list=bad_ipv6
add address=2001:db8::/32 comment="defconf: documentation" list=bad_ipv6
add address=2001:10::/28 comment="defconf: ORCHID" list=bad_ipv6
add address=3ffe::/16 comment="defconf: 6bone" list=bad_ipv6
/ipv6 firewall filter
add action=accept chain=input comment=\
    "defconf: accept established,related,untracked" connection-state=\
    established,related,untracked
add action=drop chain=input comment="defconf: drop invalid" connection-state=\
    invalid
add action=accept chain=input comment="defconf: accept ICMPv6" protocol=\
    icmpv6
add action=accept chain=input comment="defconf: accept UDP traceroute" port=\
    33434-33534 protocol=udp
add action=accept chain=input comment=\
    "defconf: accept DHCPv6-Client prefix delegation." dst-port=546 protocol=\
    udp src-address=fe80::/10
add action=accept chain=input comment="defconf: accept IKE" dst-port=500,4500 \
    protocol=udp
add action=accept chain=input comment="defconf: accept ipsec AH" protocol=\
    ipsec-ah
add action=accept chain=input comment="defconf: accept ipsec ESP" protocol=\
    ipsec-esp
add action=accept chain=input comment=\
    "defconf: accept all that matches ipsec policy" ipsec-policy=in,ipsec
add action=drop chain=input comment=\
    "defconf: drop everything else not coming from LAN" in-interface-list=\
    !LAN
add action=accept chain=forward comment=\
    "defconf: accept established,related,untracked" connection-state=\
    established,related,untracked
add action=drop chain=forward comment="defconf: drop invalid" \
    connection-state=invalid
add action=drop chain=forward comment=\
    "defconf: drop packets with bad src ipv6" src-address-list=bad_ipv6
add action=drop chain=forward comment=\
    "defconf: drop packets with bad dst ipv6" dst-address-list=bad_ipv6
add action=drop chain=forward comment="defconf: rfc4890 drop hop-limit=1" \
    hop-limit=equal:1 protocol=icmpv6
add action=accept chain=forward comment="defconf: accept ICMPv6" protocol=\
    icmpv6
add action=accept chain=forward comment="defconf: accept HIP" protocol=139
add action=accept chain=forward comment="defconf: accept IKE" dst-port=\
    500,4500 protocol=udp
add action=accept chain=forward comment="defconf: accept ipsec AH" protocol=\
    ipsec-ah
add action=accept chain=forward comment="defconf: accept ipsec ESP" protocol=\
    ipsec-esp
add action=accept chain=forward comment=\
    "defconf: accept all that matches ipsec policy" ipsec-policy=in,ipsec
add action=drop chain=forward comment=\
    "defconf: drop everything else not coming from LAN" in-interface-list=\
    !LAN
/system clock
set time-zone-name=Europe/Madrid
/tool mac-server
set allowed-interface-list=LAN
/tool mac-server mac-winbox
set allowed-interface-list=LAN

Muchas gracias!
 
Llévate el siguiente código a un fichero "vlans.rsc". Conéctate al router vía MAC address (sólo winbox), sube el fichero (arrástralo a la ventana de winbox) y corre el siguiente comando desde terminal: import vlans.rsc
Código:
/interface vlan
add interface=bridge name=vlan-home vlan-id=10
add interface=bridge name=vlan-iptv vlan-id=11

/interface list member
add interface=vlan-home list=LAN

/ip dhcp-server
set [find name=defconf] interface=vlan-home name=dhcp-home

/ip address
set [find comment=defconf and interface=bridge] interface=vlan-home

/interface bridge port
set [find interface=ether2] frame-types=\
  admit-only-untagged-and-priority-tagged pvid=11
set [find interface=ether3] frame-types=\
  admit-only-untagged-and-priority-tagged pvid=10
set [find interface=ether4] frame-types=\
  admit-only-untagged-and-priority-tagged pvid=10
set [find interface=ether5] pvid=10

/interface bridge vlan
add bridge=bridge comment=lan tagged=bridge vlan-ids=10
add bridge=bridge comment=iptv tagged=bridge,ether5 vlan-ids=11

/interface bridge
set 0 frame-types=admit-only-vlan-tagged igmp-snooping=yes vlan-filtering=yes

A partir de ese momento tu configuración debería estar migrada a usar vlans. Usaríamos vlan 10 para tu lan y vlan 11 para la iptv. El puerto ether2 iría conectado con un segundo cable al HGU y, por el puerto 5, se estaría mandando la vlan 10 (home) sin tag, lista par su uso, y la VLAN 11 taggeada, en modo trunk (puerto híbrido). Si vemos que tu switch no es compatible con este tipo de configuración, habría que modificar un pelín el vlan filtering para que mandase ambas vlans en modo trunk, y el switch luego reparta a cada puerto la que le toca (el puerto que lo une físicamente al router sería un puerto trunk con las dos vlans (10 + 11), el puerto donde va el desco un puerto de acceso para la vlan 11, y el resto de puertos de acceso para la 10)

Pero, como ya te digo, todo esto depende de que tu switch soporte manejo de VLANs. Si el switch que decías que habías metido entre medio no soporta VLANs, sólo podrías trabajar en modo puerto híbrido, no te vale con la configuración de puerto trunk, o los equipos conectados a ese switch no cogerían IP. Ante las dudas, vuelve a pintar tu esquema actual y, si te falla lo que te digo, vuelve a mandarme un export

También puedes probar que la config de VLANs funciona. Si te subes el desco arriba y editas el PVID del puerto 3 del router cambiándolo de un 10 a un 11, el desco pinchado a ese puerto debería salir funcionando.

Saludos!
 
Ha sido llegar y besar el santo. He metido la config, con el desco el el Switch Ubiquiti de la planta baja, he creado la VLAN11 en el commander de Ubiquiti y le he asignado esa red (IPTV Movistar+) al puerto del desco, y funciona, pero con un pequeño problema, sólo se ven algunos canales :eek:Hasta ayer ni conectaba, salía un mensaje desl desco de "no internet, etc..." La 1 no se ve, pero La 2 y el resto de genéricos si, los de niños casi todos se ven, los de cine ninguno, es raro.

Leyendo en foros dicen de hacerle reset al desco, a ver si va por ahí la cosa. Sigo investigando.
 
Buenas tardes.

Ahora que he tenido un par de días más relajados he seguido configurando cosas.
Estoy configurando el servidor para acceso web, y montando Nginx en un docker, va todo bien hasta que le meto el PHP, que carga el Nginx pero me da un 403 Forbidden. Me estoy volviendo loco, literalmente, porque inicialmente marcaba un problema de permisos, pero ni con carpetas con 777, ni revisando usuarios, nada... ya solo me queda pensar que es alguna ruta que no redirecciona correctamente en el router. ¿Podría ser? He estado buscando en el foro pero no he encontrado nada "específico" para esto.

Muchas gracias de antemano :)
 
Arriba